PROYECTO

----
PROYECTO
Concienciación en la seguridad de los sitios web: desenmascara.me
----

martes, 16 de diciembre de 2014

Cuales son las marcas falsas que mas se venden en Internet?

25% of all fake luxury goods which are sold in India are sold via eCommerce portals!
El mercado de los objetos de lujo se estima en $320 billones, de los cuales un 7% forma parte de las falsificaciones, es decir unos $22 billones. El 25% de estos productos se vendera a traves de sitios web online, y se estima que la demanda para este mercado de falsificaciones se doblara en el 2015. Fuente

Al hilo de la anterior afirmacion, recientemente una operacion antipirateria desmantelo 292 dominios de productos falsificados. Los sitios web se encontraban alojados en 19 paises diferentes, la operacion se ha coordinado entre Europa y EEUU.

Según la Europol, los sitios “habían sido usados para vender ilegalmente mercancías falsificadas, entre las que se incluían productos electrónicos, farmacéuticos, deportivos, bienes de lujo, películas y música.”

Segun la investigacion, los dominios incautados han pasado a ser custodiados por las Autoridades de los Gobierno de los países involucrados en la operación, no permitiéndose su acceso a ellos, y en muchos casos en su lugar un cartel advierte del delito que supone la infracción del copyright, un aviso como el siguiente:


 
Aviso que se observaba en un dominio web que vendia Ray-Ban de forma no oficial


Sin disponer de mas informacion sobre que productos son los mas vendidos online de forma fraudulenta, a traves de desenmascara.me he recopilado algunas estadisticas:


Top 5 productos, segun desenmascara.me vendiendose a traves de tiendas online falsas


Observamos que zapatillas de marca Nike y gafas de sol RayBan son los productos estrella en las tiendas online con hosting en China principalmente, y creadas con agiles CMS listos para su uso en campañas como la que se acerca.

Ahora que estamos en epoca de compras navideñas, no te dejes llevar por los precios y si realizas compras online, en caso de dudas desenmascara la web y; compra de forma segura.

jueves, 11 de diciembre de 2014

Que hay detras del portal del transparencia del Gobierno Español?

No podia ser cierto, alguien lo paso por desenmascara.me y me percate de lo siguiente:


El nuevo portal de transparencia del Gobierno bajo una plataforma web con 14 años de antiguedad y sin soporte desde hace 4 años??. Aunque nuestro Gobierno no deje de sorprendernos, no me creia que eso pudiese ser real, asi que investigue algo mas.

Como es muy sencillo alterar las cabeceras web, veamos otros tipos de fingerprinting web como el orden de las cabeceras web.  A partir de otros servidores que se ejecutan sobre IIS/5.0 comparemos resultados:

Orden de las cabeceras en la web del Gobierno:


nc transparencia.gob.es 80
HEAD / HTTP/1.0

HTTP/1.1 200 OK
Date: Thu, 11 Dec 2014 09:34:26 GMT
Server: Microsoft-IIS/5.0
Last-Modified: Fri, 22 Nov 2013 10:27:53 GMT
ETag: "8e6-5ce-4ebc17784c147"
Accept-Ranges: bytes
Content-Length: 1486
Connection: close
Content-Type: text/html



Orden de las cabeceras de otros sitios con IIS/5.0


# nc spainvulnbusiness.es 80
HEAD / HTTP/1.0

HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Content-Location: http://10.93.12.106/error.html
Date: Thu, 11 Dec 2014 09:37:25 GMT
Content-Type: text/html
Accept-Ranges: bytes
Last-Modified: Sat, 11 Oct 2008 12:28:52 GMT
ETag: "2197c4eb9c2bc91:a35"
Content-Length: 175



# nc www.granelesdechile.com 80
HEAD / HTTP/1.0

HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Date: Thu, 11 Dec 2014 10:00:03 GMT
X-Powered-By: ASP.NET
X-AspNet-Version: 1.1.4322
Set-Cookie: ASP.NET_SessionId=krfafj343pu0of554nkwfp45; path=/
Cache-Control: private
Content-Type: text/html; charset=iso-8859-1
Content-Length: 668



Observamos como el orden de los 2 ultimos servidores web es igual, la cabecera HTTP Server esta en el segundol lugar, mientras que en la web de transparencia del Gobierno, la cabecera Server se situa en tercer lugar, lo que puede indicar que no se trata de un IIS sino de un servidor Apache.

Si probamos otra tecnica de fingerprinting web, como observar la respuesta a peticiones invalidas, observemos:

Sitio web de electrica española con IIS/5.0
# nc vulnwebsite.es 80
HEAD / HTTP/9.0

HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Content-Location: http://10.93.12.106/error.html
Date: Thu, 11 Dec 2014 10:20:47 GMT
Content-Type: text/html
Accept-Ranges: bytes
Last-Modified: Sat, 11 Oct 2008 12:28:52 GMT
ETag: "2197c4eb9c2bc91:a35"
Content-Length: 175



 Pequeño sitio web de org con IIS/5.0

# nc www.someorganization.org 80
HEAD / HTTP/9.0

HTTP/1.1 404 Objeto no encontrado
Server: Microsoft-IIS/5.0
Date: Thu, 11 Dec 2014 10:19:47 GMT
Content-Type: text/html
Content-Length: 116

<html><head><title>Sitio no encontrado</title></head>


En las dos peticiones anteriores, las 2 primeras cabeceras son la respuesta HTTP y SERVER, ademas vemos que la cabecera Date, va siempre despues de Server, u otra cabecera adicional como Content-Location. Sin embargo si observamos en el portal de transparencia:  


#nc transparencia.gob.es 80
HEAD / HTTP/9.0

HTTP/1.1 400 Bad Request
Date: Thu, 11 Dec 2014 10:28:29 GMT
Server: Microsoft-IIS/5.0
Connection: close
Content-Type: text/html; charset=iso-8859-1



observamos que la cabecera HTTP: Date, va antes que Server, lo cual es otro signo del servidor web Apache.

Por ultimo si revisamos el perfil de la Cookie:

Cookie tipica de IIS/5.0
Cookie: IdUnico=1328344478; ASPSESSIONIDQQABDBDT=NOKBICDBAMEMHILLDFPPMFCC; __utma=78880587.414170472.1418308647.1418308647.1418308647.1; __utmb=78880587.1.10.1418308647; __utmc=78880587; __utmz=78880587.1418308647.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none); __utmt_bt=1; pathname=/ES/

Cookie del portal de transparencia:
Cookie: portal_transparencia=auu5d2bqk7j5uei9ai39sc2ht0; ID_SESSION=1090977034.20480.0000; _ga=GA1.3.586700092.1418287103; _gat=1

ninguna referencia a ASP.


Ademas, como es de esperar por el tamaño, si buscamos un poco mas, veremos que el equipo tecnico detras de .gob.es es bastante heterogeneo como:


Para finalizar, aunque no hubiera sido extraño que el portal estuviese bajo IIS/5.0, parece que no es asi y lo han querido enmascarar de alguna forma, algo ironico tratandose del portal de transparencia.

(Perdonad por los acentos y faltas, no tengo un teclado español)








jueves, 4 de diciembre de 2014

Como saber de forma sencilla si un sitio web puede ser comprometido

TLP son las siglas de Traffic Light Protocol. Se trata de un conjunto de designaciones que se usan para asegurar que información sensible, en relación a la seguridad informática, puede ser compartida con la audiencia correcta, y en que términos. Ejemplo de lo que no se deberia hacer.

Generalmente cuando una empresa de seguridad informática realiza una investigación sobre una determinada campaña de malware, bien a través de sistemas de un cliente o propios, la información que se extrae puede servir para prevenir ataques, pero con el fin de preveer que los ciberatacantes sepan que han sido descubiertos o para evitar darles más pistas, se suele compartir este tipo de información entre diferentes actores de ambitos privados y público. Concretamente TLP es usado por los US-CERT, sector público, privado de paises como Australia, Canadá, Finlandia, Francia, Alemania, Hungria, Italia, Japon, Holanda, Nueva Zelanda, Noruega, Suecia, Suiza y Reino Unido.

En uno de los recientes informes TLP se informaba sobre una campaña de malware distribuyéndose a través de sitios web comprometidos, el informe contenía cientos de URLs de sitios webs, algunos ya no estaban activos pero otros seguían online. Conseguí analizar 204 de dichos sitios web con desenmascara.me y este fue el resultado:

  • -95% de los sitios web analizados no puntuó mas de 20 en valor de concienciacion. Desenmascara.me considera un sitio web concienciado en seguridad, si entre otros muchos factores, esta usando software actualizado, sin fallos críticos, y/o la infraestructura se detecta que ha sido protegida.
  •  -Las 2 plataformas principales de los sitios comprometidos eran: Wordpress y Joomla
 
Analisis de 204 sitios web (comprometidos) con desenmascara.me


En la anterior grafica podemos ver valores que bajan de los -60 puntos, esto es porque el sitio web tendria una version de software muy vulnerable como Joomla 1.5 o similar y era muy sencillo tomar control de el. En el caso de los sitios web que puntuaban por encima de 20, no mostraban plataformas claramente vulnerables, en esos casos no esta claro como los atacantes consiguieron acceso. Pero al menos demuestra que no fue tan sencillo como en el caso de los sitios web descuidados.


Si tienes un sitio web, asegurate con desenmascara.me como un atacante podria ver tu plataforma para aprovecharse de ella en caso de que algo muy notable, en materia de Seguridad, le este afectando. Esto es lo que podras descubrir de tu sitio web con tan solo un sencillo paso y en unos segundos

Obviamente, esto no es una auditoria, ni pretende serlo, sino un servicio para demostrar la relacion entre sitios web que no se mantienen actualizados/cuidados por sus propietarios y como son entonces facilmente comprometidos.

Y tu, mantienes actualizado tu sitio web?

miércoles, 5 de noviembre de 2014

Rumor de leak de cuentas de iTunes

Ayer, a través de una alerta llegué a este recurso de Pastebin que ya ha sido eliminado.

Pantallazo de Pastebin con el leak


Busque en twitter el término "itunes leak", y no había ningún resultado relevante, por lo que publiqué este tweet, hoy, un día después, tampoco hay mucha más información, más allá de algún otro tweet y un post.

El recurso de Pastebin ya no está disponible, y el enlace con la base de datos tampoco, pero, en estos casos, lo importante es darse prisa, por lo que conseguí una copia de la BBDD, no se de donde habrán salido los datos, si se trata de una recopilación de antiguos leaks, ha sido generado automaticamente por alguna extraña razón, o se trata de un leak real, no lo podemos saber en este momento, pero echemos un vistazo al archivo con las credenciales:


3.840.378 de credenciales
[root@machine itunes]# wc -l 4_million_itunes.txt
3840378 4_million_itunes.txt


No hay ningúna credencial repetida, pero si mismos usuarios con diferente contraseña:
[root@machine itunes]# sort -u 4_million_itunes.txt | wc -l
3840378

[root@machine itunes]# cat 4_million_itunes.txt | cut -d ":" -f1 | sort -u
3840378

[root@sysadmin itunes]# cat 4_million_itunes.txt | cut -d ":" -f1 | sort -u | wc -l
3525400


Top 10 de dominios
[root@machine itunes]# cat 4_million_itunes.txt | cut -d "@" -f2 | cut -d ":" -f 1 | sort -nr | uniq -c |sort -nr|head
 906414 yahoo.com
 893933 hotmail.com
 803912 gmail.com
 672050 live.com
  61151 mail.ru
  60662 aol.com
  11021 comcast.net
  10450 msn.com
   5693 sbcglobal.net
   4730 web.de


114590 Dominios diferentes
[root@machine itunes]# cat 4_million_itunes.txt | cut -d "@" -f2 | cut -d ":" -f 1 | sort -u | wc -l
114590


Top 10 de contraseñas
[root@machine itunes]# cat 4_million_itunes.txt| cut -d ":" -f2 | sort -nr | uniq -c | sort -nr|head
   8789 123456
   5936 EBEANS
   4048 password
   2746 qwerty
   1965 12345678
   1156 heka6w2
   1028 123456789
    959 baseball
    958 football
    947 12345


Lo que si puedo asegurar es que los datos de usuarios son ciertos. Una búsqueda para cualquier usuario aleatorio de una gran corporación o agencia de seguridad, y vemos que efectivamente dicho usuario tiene un perfil de linkedin que concuerda. Mientras no tengamos más datos, no estará de más verificar con los principales dominios "corporativos" y de "agencias de seguridad" dichos datos como medida proactiva. El tiempo dira que tipo de leak se trataba.


lunes, 27 de octubre de 2014

Desenmascara.me en la Black Hat 2014 Europa (Amsterdam)

Gracias al excelente trabajo que realiza ToolsWatch, tuve la oportunidad de asistir a la Black Hat edición Europa, en Amsterdam, que se celebró los días del 14 al 17 de Octubre. Una magnífica ocasión para conocer desarrolladores de otras herramientas de seguridad, charlar e intercambiar ideas.

Me llevo un muy buen recuerdo de esta experiencia, y sobre todo la ocasión de conocer compañeros del sector, tanto trabajando en España y fuera, más común esto último. Me lleve una gran sorpresa por la gran cantidad de ponentes españoles y asistentes.

Por mi parte estuve en el área Arsenal, presentando desenmascara.me:

Desenmascara.me herramienta web cuyos objetivos principales son:

1. Concienciar a los administradores de sistemas, propietarios web y desarrolladores sobre la importancia de mantener actualizado el software necesario para disponer de un sitio web.

2. Para auditores web y pentesters como herramienta ultra rápida para realizar un fingerprinting web.

Para demostrar el uso de la herramienta nada mejor que ver unos ejemplos de uso, como la imagen inferior con algunos casos de uso:


Desenmascara.me: casos de uso


De Amsterdam me traje un buen feedback y más ideas a desarrollar, la lista TODO crece sin parar.

Dos pequeñas anécdotas: Tuve la ocasión de conocer a Michael Bolen, el autor de rkhunter, una de las primeras herramientas de seguridad que empecé a usar allá por el 2002. Hace un año ha creado su empresa CISOfy.
Uno de los asistentes a arsenal me pregunto por la forma de detectar WAFs, estuvimos intercambiando algunas ideas, y luego me dijo que podía coger ideas de su proyecto: SQLmap.  El proyecto web-metadata de owasp se intentará encargar de unificar datos.

Michael, servidor y NJ Ouch, organizador del Arsenal. Al fondo, a la izquierda de la imagen se puede vislumbrar a Jesús Perez, presentando la herramienta Bluebox-NG

Gracias de nuevo a ToolsWatch por la oportunidad de presentar la herramienta, y al mismo tiempo por asistir al congreso BlackHat, que de otra forma, no hubiera tenido oportunidad.

En breve publicaré unos datos, en mi opinión, más que interesantes, sobre el estudio de metadatos y afinación del valor de concienciación de los sitios web según desenmascara.me


EXTRA: Si deseas un sticker con el logo de desenmascara.me, deja un comentario o ponte en contacto conmigo y te lo enviaré donde me indiques.


miércoles, 1 de octubre de 2014

Elplural.com distribuyendo software malicioso

Actualización 1 (5.10.14: 19:45): Que todavía siga saliendo el aviso de twitter de sitio malicioso, significa que aunque elplural.com ya esté limpio de badware, no se han preocupado de seguir el procedimiento de twitter, y/o twitter todavía considera que es peligroso.



A través de meneame.net voy a leer una de las noticias que enlaza al diario elplural.com y me encuentro con el aviso "el sitio al que accedes contiene software malicioso". Compruebo en twitter y veo que hace pocos minutos está ocurriendo.


aunque algunos usuarios se lo toman con algo de escepticismo:


Obviamente el aviso también sale en las búsquedas de Google


En twitter


Y accediendo a traves de Firefox (e IP diferente, fuera de España), cuyo motor de Seguridad (SafeBrowsing) es el mismo que el de Chrome:



Este es el informe de Google: actividad sospechosa 29 veces en los ultimos 3 meses?, vaya eso si que es ser activo !!



Bueno, son unas cuantas pruebas para cerciorarme que en realidad algo esta ocurriendo en el diario online.


Reviso el sitio web a través de desenmascara.me y observo los siguientes puntos a tener en cuenta.

  • El primero de ellos es el valor de concienciacion: 70 en este caso (con 20 o mas se considera que un sitio web esta concienciado con la seguridad). En mi experiencia con este servicio web, sitios web con un valor de 20 o menor son los que mas posibilidades tienen de ser victimas de badware, pero no siempre es asi. Veamos en mas detalle los demas puntos.
  • La versión de Wordpress: [WordPress 3.2.1,WordPress 3.5 tiene más de un año. La última versión estable 4.0 incluye varias correciones de Seguridad a través de las versiones anteriores pero posteriores a las del diario online.
  • En el apartado iframes, observamos varios de ellos que aparentemente no están relacionados ya que apuntan a diferentes dominios que no estan en la lista negra de SAfeBrowsing.
  • En el apartado scripts vemos varias referencias a la red de publicidad: https://ads.elplural.com/www/delivery/ajs.php 
  • En el momento de escribir este artículo de forma apresurada, dicho archivo contiene lo siguiente (lo dejo apuntado para referencia):

var OX_754bdd64 = '';



document.write(OX_754bdd64);



  • Jquery, concretamente la versión JQuery[1.8.3 la tienen alojada en local. Una buena práctica teniendo en cuenta las últimas noticias.
  • El sitio está alojado en CloudFlare, pero la IP no parece tener un gran historial malicioso. Aun asi, no tienen correctamente configurado todos los registros y podemos observar alguna IP real donde alojan el servicio.
Este es uno de los casos interesantes para el servicio web desenmascara.me. El sitio web mostraba un valor de concienciación de 70, bastante bien en teoría, en base a parámetros como estar alojado en cloudflare y signos de hardening como la cabecera HttpOnly. Exactamente este es el mensaje que muestra el servicio web desenmascara.me (versión ingles):

Review iframe as caution measure. Additional secure policy detected. No SSL version info. Many metadata extracted. Old Wordpress, please consider updating. Infrastructure of some of the big-players. Website built with Wordpress....

Ultimamente estoy viendo más sitios comprometidos que casualmente tienen versiones no actualizadas de Wordpress. Parece que tener un wordpress desactualizado hoy en día tiene su riesgo. El valor de concienciación en este caso tendría que haber sido menor por ello, y ademas por la NO correcta configuracion de cloudflare. Hora de actualizar el mini-algoritmo del valor de concienciación. 

Y por supuesto, un diario online como elplural.com comprometido va directo a pwnedwebsites.com

lunes, 14 de abril de 2014

El proyecto web desenmascara.me candidato a los premios del día de Internet

El 17 de Mayo es el día mundial de Internet, ah!, ¿que no lo sabías? conoce un poco mas sobre su origen, y sí, hay efemérides de todo tipo.

Esta entrada es para espamear informar que el proyecto desenmascara.me es candidato a los premios de Internet 2014.




Los Premios de Internet tienen por objetivo reconocer aquellas Iniciativas, Personas u Organizaciones que más se han destacado, durante el año previo a su entrega, en el buen uso de Internet y las nuevas Tecnologías.  Bases de los premios

Uno de los objetivos principales del proyecto desenmascara.me es concienciar sobre el buen uso de Internet a parte de otras muchas funcionalidades. Por eso opta a estos premios, cuya dotación no es económica, sino simplemente eso Reconocimiento a la labor del buen uso de Internet.